Implementar ADFS y el Servicio de autenticación federada

Introducción

Este documento describe cómo integrar un entorno de Citrix con Microsoft ADFS.

Muchas organizaciones usan ADFS para administrar el acceso seguro de los usuarios a los sitios Web que requieren un único punto de autenticación. Por ejemplo, una empresa puede tener descargas y contenido adicionales disponibles para los empleados; estas ubicaciones deben estar protegidas con credenciales de inicio de sesión estándar de Windows.

El Servicio de autenticación federada (FAS) también permite integrar Citrix NetScaler y Citrix StoreFront en el sistema de inicio de sesión de ADFS, lo que disminuye el riesgo de confusión para el personal de la empresa.

Esta implementación integra NetScaler como un usuario de confianza en Microsoft ADFS.

Imagen localizada

Descripción general de SAML

Security Assertion Markup Language (SAML) es un sistema sencillo de inicio de sesión con explorador Web para “redirigir a la página de inicio de sesión”. La configuración incluye los siguientes elementos:

Dirección URL de redirección [URL del servicio Single Sign-On]

Cuando NetScaler detecta que un usuario tiene que autenticarse, indica al explorador Web del usuario que haga un envío HTTP POST a la página Web de inicio de sesión de SAML en el servidor ADFS. Esta suele ser una dirección https:// en el formato: https://adfs.mycompany.com/adfs/ls.

Este POST a la página Web incluye información adicional, incluida la dirección de devolución adonde ADFS llevará al usuario cuando se complete el inicio de sesión.

Identificador [Nombre del emisor/ID de entidad o EntityID]

El ID de entidad (EntityID) es un identificador único que NetScaler incluye en los datos de POST enviados a ADFS. Eso informa al servicio ADFS acerca del servicio en el que intenta iniciar sesión el usuario, para aplicar distintas directivas de autenticación según corresponda. Si se emite, el XML de autenticación de SAML solo servirá para iniciar sesión en el servicio identificado por EntityID.

Normalmente, el EntityID es la dirección URL de la página de inicio de sesión del servidor NetScaler, pero puede ser cualquier cosa, siempre que NetScaler y ADFS lo acuerden: https://ns.mycompany.com/application/logonpage.

Dirección de devolución [URL de respuesta]

Si la autenticación se realiza correctamente, ADFS indica al explorador Web del usuario que envíe con POST un XML de autenticación de SAML de vuelta a una de las URL de respuesta que están configuradas para EntityID. Esta suele ser una dirección https:// en el servidor NetScaler original con el formato: https://ns.mycompany.com/cgi/samlauth.

Si hay más de una dirección URL de respuesta configurada, NetScaler puede elegir uno en su POST original para ADFS.

Certificado de firma [Certificado IDP]

ADFS firma criptográficamente los objetos blob (Binary Large Object) de XML de autenticación de SAML usando su clave privada. Para validar la firma, NetScaler debe estar configurado para comprobar las firmas usando una clave pública que se incluye en un archivo de certificado. El archivo de certificado es normalmente un archivo de texto obtenido del servidor ADFS.

URL de Single Sign-Out [URL de cierre de sesión único]

ADFS y NetScaler respaldan un sistema de “cierre de sesión central”. Se trata de una dirección URL que NetScaler sondea ocasionalmente para comprobar que el blob XML de autenticación SAML aún representa una sesión conectada.

Esta es una característica optativa, no es necesario que esté configurada. Esta suele ser una dirección https:// en el formato: https://adfs.mycompany.com/adfs/logout. (Tenga en cuenta que puede ser la misma que la dirección URL de inicio de sesión único.)

Configurar

En la sección Implementar NetScaler Gateway del artículo Arquitecturas de Servicios de autenticación federada, se describe cómo configurar Citrix Gateway para gestionar opciones de autenticación LDAP estándar, con el Asistente de instalación de NetScaler de XenApp y XenDesktop. Una vez completado correctamente, se puede crear una nueva directiva de autenticación en NetScaler que permita la autenticación SAML. Después, esto puede reemplazar la directiva LDAP predeterminada utilizada en el asistente de instalación de NetScaler.

Imagen localizada

Rellenar la directiva de SAML

Configure el nuevo servidor de proveedor de identidades SAML usando la información tomada anteriormente de la consola de administración de ADFS. Cuando se aplica esta directiva, NetScaler redirige al usuario a ADFS para el inicio de sesión y a su vez acepta el token de autenticación de SAML firmado por ADFS.

Imagen localizada

Información relacionada

Implementar ADFS y el Servicio de autenticación federada